| 摘要:沙盒(Sandbox),也称沙箱,是近年来在信息安全领域应用较为广泛的技术之一。Google Chrome浏览器、MSOffice2010中都应用了一些沙盒技术来提升其安全性。目前的IT领域中,应用沙盒技术比较广泛的是杀毒软件行业,比如用于病毒实验甚至是用户应用中的各种“沙盒”安全模式。 |
三、应用沙盒技术,提升应用的可靠性
Google收购沙盒技术的鼻祖Green Border公司,并在其后推出的Chrome浏览器中应用了沙盒技术,使得多标签浏览状态下,每一个标签都运行在独立的沙盒中,从而有效避免了以往多标签浏览下标签崩溃造成的浏览器甚至系统崩溃的情况,提升了应用的可靠性。
类似的,在内网安全的一些应用中,沙盒技术也可以有效提高其可靠性。例如近几年来内网安全领域比较常见的,同时也是IP-guard新产品V+全向文档加密所应用的文档透明加密技术,由于是基于进程的加密,即意味着无论打开多少个文档,由于在进程中只能体现为一个进程,假使因为一些原因导致其中一个文档损坏,则其他的文档也都有同样的损坏风险。应用沙盒技术,可以将每一个文档的加密过程都置于单独的沙盒之内,单独文档的损坏不会导致其他文档的损坏,从而能够有效提高系统的可靠性。
另外,沙盒的隔离特性,还可以使同样文档格式但保密要求不同的文档的加密更加灵活。例如,对于用户接收的来自外部的文档,有些可能并不方便进行加密,对于这些文档,就可以让其运行在沙盒之中,使用时并不进行加密操作,从而将不同安全级别的文档在使用时进行了有效的区隔,让加密更加实用和灵活。谈及这一点,黄凯颇有感触:“类似这种“微创新”,对于系统的安全性提升并不明显,但恰恰是这种微小的创新,体现了IP-guard以及其他优秀产品从用户角度出发、追求用户体验提升的产品创新理念。“
沙盒技术的局限性
上面提到的是沙盒技术在内网安全领域未来可能的应用方向,其主体思路,都是通过沙盒技术的隔离特性,提升应用的安全性与可靠性,确保局部的风险不影响整体的安全水平。事实上,现在已经有一些内网安全产品应用了沙盒技术,或者说沙盒的理念,如一些磁盘加密环境切换产品。虚拟机、瘦客户机等产品,也在一定程度上与沙盒技术有异曲同工之妙。
然而,我们也必须看到,任何一种新兴技术的发展,除了带来革新性的好处,也都可能有其局限性。在这一点上,沙盒技术也不例外。
首先,沙盒技术并不是杀毒软件或其安全产品,这也就意味着它只能隔离,无法检测加密过的或者复杂的安全威胁。因此,认为应用了沙盒之后,一切安全威胁都不再是威胁的想法显然是不足取的,沙盒并不能彻底的解决所有的问题;其次,由于沙盒的存在,在用户与应用之间增加了一层应用,理论上,也就多了一层可被攻击的漏洞。沙盒程序本身并非无懈可击,这也就可能为恶意行为提供了新的切入点。最后,沙盒技术本身是单一的应用,想要实现上面提到的各种功能,需要针对不同的应用进行特别的优化设计,提升其可用性,而这也是考验产品经理的关键所在。
沙盒技术并不神秘,上面提到的几点,据黄凯透露,都可能出现在未来的IP-guard当中。再次谈及创新,黄凯说:“包括沙盒技术在内的很多新技术,其实可能都只是在某个微小的角度,提升了产品的可用性、易用性或者稳定性,然而,正是这些微小的创新累积起来,形成了优秀的产品。事实上,IP-guard从开始研发到如今客户遍布全国乃至世界的十年间,不断的根据客户的实际需求进行微创新,应用新技术,正是我们向前走的法宝。到现在,我们也一直有一部分同事独立于研发之外,坚持在做新技术的艰苦探索,就是为了更多有用的微创新能够加入到IP-guard或者我们的其他产品中,为用户带来更实在的收益。我们在Computex上获过奖,对于这个奖项,与其说是颁给了优秀的技术,我们更倾向于理解为这是对我们根据用户需求进行微创新的鼓励。”
责任编辑:Lily
评论表单加载中...
